(一)注重维权的欧盟模式
法规一向严苛的欧盟,采取的是集中立法的方式,制定了专门针对数据权益的《一般数据保护条例》(以下简称《条例》)。这个条例更加注重维护数据权益,对数据资源管理采取了前所未有的严格控制。而且条例在企业内部控制和合规管理方面的详细的管理规范也具备极强的可操作性。
1.重构保护条例的管辖划分
《条例》的管辖不是依照传统的属地、属人方式,而是以数据内容的分布状态来确定。条例溯及于通过网络向欧盟居民提供产品和服务的任何企业或组织,而和企业或组织所在的地域位置无关。基于互联网的连通性和流动性,数据分布本身总是处于动态变化之中,这就意味着条例管辖范围会随着数据在互联网上的流动而不断变化。这看似是欧盟的数据保护条例,却成了针对全球任何企业的规范。
2.严格企业内部的控制监管
企业或组织必须构建针对数据的操作监管机制。在企业运营中必须记录所有的数据操作日志,以备政府及相关监管机构检查管理。这些企业或组织还应该以公开透明的方式任命有专门数据保护知识的数据保护专员,来确保企业会遵守数据保护条例的规定,并在企业发生违反数据保护条例的行为时,承担相应的法律责任。
《条例》还要求企业或组织在数据泄露等安全事件中,须第一时间报告政府和相关监管机构,并统计好数据泄露的规模、形式、渠道以及会波及的影响范围。如果数据安全事件的发生会对数据来源方面比如公民个人产生负面影响,企业或组织必须立即告知所有数据来源方,并以采取任何必要的措施来制止和消除影响。
3.细化保护原则的现实履行
《条例》规定了数据保护的前瞻原则、最小原则、告知原则和退出原则。
前瞻原则要求企业在业务系统和产品服务的设计阶段,就必须遵从条例要求对涉及数据的环节进行全面构造,并能提供自己满足了这样设计要求的相关证明资料。
最小原则要求当数据处理过程中面对包含了数据共享的若干级别时,必须以共享内容最小的级别,即不共享任何内容为默认的缺省级别。
告知原则要求数据管理者在采集和利用用户数据前必须向用户明确告知被收集的数据会包含哪些内容以及数据会被以何种方式利用,并且必须获得用户的明确授权。
《条例》不认可任何形式的“缺省同意”。退出原则要求相关企业或组织在收到用户撤回自己向其给予的个人数据使用授权时,必须立即删除所有相关数据并不得保留任何备份。数据的退出并非清晰且易于执行。因为采集到的数据会零散地分布在企业的多个业务系统和产品模型中,庞大数据库中过滤出一份特定的个人数据完全删除,还要确保所有数据同步删除没有遗漏,实现起来困难重重,也会带来巨大的成本压力。
4.提高侵权责任的惩罚上限
《条例》对于违法行为设置了巨额的惩罚上限。对于严重的违法行为,罚款上限是2000万欧元或前一年全球营业收入的4%(两值中取大者)。假设针对Google或Facebook这样体量的互联网巨头按照其全球营业收入罚款,那这动辄几亿甚至几十亿美元的罚单确是处于欧盟立法中一个相当高的标准了。(www.xing528.com)
《一般数据保护条例》极大触动了国际互联网巨头的利益。欧洲和美国的行业组织纷纷发声,指出条例的数据保护约束过于严苛,会给企业带来相当大的额外成本压力,这将极大阻碍商业价值挖掘和大数据产业的发展。
可以预见在大数据时代下,欧洲会在《一般数据保护条例》的制约下且与美国有较大差异的道路上继续前行。为了补偿对于企业创新空间的挤压和应对监管的成本,更多的还要靠政府在数据保护和技术创新之间去谋求平衡。
(二)鼓励创新的美国模式
作为大数据技术的发源地,美国在数据保护上采用相对宽松的管理理念,政府对大数据技术的应用发展一直保持积极支持和鼓励的政策。数据资源充分自由的流动,让企业获得了更为广阔的产业创新空间。其立法保护模式主要有以下特点:
1.权利保护领域,多措结合的分散形态
在相关的立法重点上,美国注重通过立法防止公权力和其他私有主体侵犯公民数据权利。不同于欧盟采取了制定专门法律保护数据权利,美国则是采用分散式立法的模式。具体包括:在限制公权力侵犯个人信息范畴上,制定《信息自由法》和《隐私法案》;在对私有企业主体限制的范畴上,广泛分布于金融、电信、医疗等行业领域的市场管理规则中都根据不同行业的特点嵌入了个人数据保护条款。同时,作为高度重视创新带动技术发展的国家,美国政府也在推动个人数据保护方面的行业自律,包括让各类自律组织制定相关行业指引或由权威技术联盟提供隐私认证;同时,与欧盟签署服务于数据共享“安全港”协议,在欧盟和美国之间创建健康的国际数据资源利用生态。然而即便这样,在飞速发展的大数据技术面前,这些制度架构仍然无法很好地在技术适用与非经济价值的保护之间取得完美平衡。
奥巴马政府发动了一系列“我的数据”(My Data)行动以使美国公民享有的数据资源能被安全管理,并鼓励具有使用和分析这些数据技术的企业发展,使之更好地为公民提供服务。行动目的在于使每一个美国公民都能安全地获得健康、税务、能源和教育等数据资源,利用大数据技术为其管理工作和生活、获取社会福利提供便利高效的新途径。
白宫在发布的全球“大数据”白皮书——《大数据:把握机遇,守护价值》(Big Data:Seize Opportunities,Preserving Values)中,提出了一系列制定政策、适用法律和革新技术方面的调查建议,试图在平衡大数据利用与公民个人信息保护价值之间的冲突中谋求新探索,在大数据时代背景下公平合理高效地释放大数据资源为经济社会发展带来的能量。[1]
2.数据流通领域,数据经纪的商业模式
美国大量存在着数据经纪业务商。这些数据经纪商的资源并不是直接来源于终端用户,而是收集于政府信息、商业活动和其他公开资料。孤立的数据经纪商可能并不足以掌握丰富立体的数据图景,但通过数据的流通和共享,这些数据资源便丰满了起来。进而向市场提供丰富又有针对性的市场营销产品、风险控制产品等。同时也该看到,数据经纪商通过多种信息渠道广泛收集用户数据,导致绝大多数情况下终端用户对此并不知情。整个数据经纪产业链是由多层次的相互提供数据的经纪商所组成的。他们掌握的这些经过充分流通共享的数据资源,其信息量几乎覆盖了每一个美国公民。数据经纪商依托数据跟踪手段来记录用户在线行为轨迹,从数据模型中推理用户偏好,根据用户偏好结合其他信息对用户进行分类。然后将线上数据与市场供求数据相结合。市场和用户都能从数据经纪商的数据产品中真正获益。
数据经纪商只在一定程度上向用户提供有限的针对其个人数据的选择权,普通用户通常情况下并不知道如何行使选择权,也难以真正实现所谓的选择权。如果用户因数据经纪商的错误而产生了数据的偏差或缺失,用户往往是在不知情的状态下使自己的利益受损,更谈不上维权和索赔了。
美国普遍存在的针对大数据企业开展数据交易进行一定的限制的争论,这主要也是基于对用户隐私及安全风险的担忧。探求如何使企业的数据交易活动能够实现透明化便成了美国规制市场的有效途径。例如,美国联邦贸易委员会(FTC)2014年针对数据经纪行业发布的报告——《数据经纪行业,呼唤透明与问责》,就提出了数据交易缺乏透明性的问题。文中FTC呼吁国会通过立法让数据经纪行业的交易活动提高针对用户的透明度,例如,向用户明示其获得数据的渠道来源、数据的类型结构,并为用户提供退出数据库的有效途径等。除了原始数据外,数据经纪商还应当披露他们基于原始数据、利用大数据技术加工处理而对用户特征脸谱化的处理活动。对于涉及用户敏感信息的,更要注重使用户充分知情并明确同意。
综上,不管是欧盟采用的统一立法模式还是美国采用的分散管理形态,都体现了如下基本宗旨:即保障基本人权、维护数据利益公平分配、维护数据资源流通的基本秩序。至于立法和管理模式的不同,更多的是源于不同国家间不同的历史背景和立法传统。不同类型的数据资源管理活动在处理方式上的差异是始终存在的,大数据背景下各种全新的数据应用业态也会层出不穷。不管是统一立法对于数据管理所抽象出的普遍性规律,还是分散立法对于多样数据设定的多层次特点,都是为完善数据资源管理立法体系的重要构建,这才是借鉴域外立法经验的最佳途径。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
